<div>Tu te has contestado, primero estableces la politica -P DROP</div>
<div>luegos abres lo que quieres abrir, si colocas que las entradas establecidas y relacionadas queden aceptadas. mas abajo colocas que las que son nuevas entren, por lo tanto esas nuevas luego se trasnforman en establecidas y relacionedas, </div>
<div> </div>
<div>Eso.</div>
<div>Saludos</div>
<div> </div>
<div><br><br> </div>
<div class="gmail_quote">El 16 de febrero de 2010 09:24, Maykel Franco Hernández <span dir="ltr"><<a href="mailto:maykel@maykel.es">maykel@maykel.es</a>></span> escribió:<br>
<blockquote style="BORDER-LEFT: #ccc 1px solid; MARGIN: 0px 0px 0px 0.8ex; PADDING-LEFT: 1ex" class="gmail_quote">Gracias por contestar pero si por ejemplo mi politica para INPUT es<br>denegar todo hasta que yo no lo habilite. Que pintan esas reglas ahí??<br>
Porque si habilito lo que yo quiera es porque yo quiero. Lo que me quiero<br>referir con esto es si quitando esas lineas tambien funcionaría todo.<br>
<div>
<div></div>
<div class="h5"><br><br>> iptables -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT<br>> iptables -A OUTPUT -m state --state ESTABLISHED, RELATED -j ACCEPT<br>><br>> Eso es para acceptar las conexiones ya establecidas o relacionadas.<br>
><br>> iptables -A INPUT -m state --state NEW -p TCP --dport 80 -j ACCEPT<br>><br>> y eso es lo mismo que<br>><br>> iptables -A INPUT -p tcp --dport 80 -j ACCEPT<br>><br>> solo que hilando mas fino. y para puertos de destino (dport).<br>
><br>> Saludos<br>><br>> El 16 de febrero de 2010 03:54, Maykel Franco Hernández<br>> <<a href="mailto:maykel@maykel.es">maykel@maykel.es</a>>escribió:<br>><br>>> > Estimado, seguramente tienes activado tu server ftp para conexiones<br>
>> > pasivas,<br>>> > por lo tanto debes abrir los puertos altos en el firewall... echale un<br>>> > vistazo a esto, a mi me soluciono el problema.<br>>> ><br>>> ><br>>> <a href="http://www.ecualug.org/2008/12/05/forums/problemas_con_conexiones_pasivas_vsftpd_con_iptables" target="_blank">http://www.ecualug.org/2008/12/05/forums/problemas_con_conexiones_pasivas_vsftpd_con_iptables</a><br>
>> ><br>>> > Saludos desde Chile.<br>>> ><br>>> > El 15 de febrero de 2010 13:47, Maykel Franco Hernández<br>>> > <<a href="mailto:maykel@maykel.es">maykel@maykel.es</a>>escribió:<br>
>> ><br>>> >> Si te comento, solo uso una interface y el iptables está enel propio<br>>> >> servidor, es decir, no hay un servidor entre la red local y el router<br>>> >> que<br>
>> >> funciona como firewall. La idea es aprender simplemente, y tengo un<br>>> >> servidor web, ssh, samba y ftp. Y la configuracion que he dejado me<br>>> >> funciona todo menos el ftp que se que hace el intento de conectarse<br>
>> bien<br>>> >> pero se queda en la parte final y no lista el directorio y mi<br>>> consulta<br>>> >> era<br>>> >> esa porque funciona con esos servicios y no con ftp nada más. Un<br>
>> saludo<br>>> >> y<br>>> >> gracias por interesarte.<br>>> >><br>>> >><br>>> >> > la cosa esta en que no has especificado la configuracion de tu<br>>> server,<br>
>> >> al<br>>> >> > parecer solo estas usando una interface, ¿solo lo usas para web?<br>>> >> > ¿ cuantas tarjetas tienes de red tienes alli?<br>>> >> ><br>>> >> > Saludos<br>
>> >> ><br>>> >> ><br>>> >> > Aland Laines Calonge<br>>> >> > Tecnico en Informatica<br>>> >> ><br>>> >> ><br>>> >> ><br>
>> >> > El 15 de febrero de 2010 09:16, Maykel Franco Hernández<br>>> >> > <<a href="mailto:maykel@maykel.es">maykel@maykel.es</a>>escribió:<br>>> >> ><br>>> >> >> Gracias por contestar. Entonces lo que no sé es porque me funciona<br>
>> el<br>>> >> >> servidor web tal y como está, ssh tambien me funciona y el samba<br>>> >> (puerto<br>>> >> >> 445) tambien me funciona tal y como lo he puesto ahi sin meter<br>
>> reglas<br>>> >> de<br>>> >> >> entrada y salida o es que el ftp se comporta de distinta manera<br>>> >> porque<br>>> >> >> si<br>>> >> >> no, no lo entiendo...<br>
>> >> >><br>>> >> >><br>>> >> >> > Hola, el problema esta en que cuando tienes las politicas en<br>>> drop<br>>> >> por<br>>> >> >> > defecto, las reglas para abrir un servicio deben ser de entrada<br>
>> y<br>>> >> de<br>>> >> >> > salida,<br>>> >> >> > algo como:<br>>> >> >> ><br>>> >> >> > /sbin/iptables -A INPUT -i $EXTIF -p tcp --sport 21 -m state<br>
>> >> --state<br>>> >> >> > ESTABLISHED -j ACCEPT<br>>> >> >> > /sbin/iptables -A OUTPUT -o $EXTIF -p tcp --dport 21 -m state<br>>> >> --state<br>>> >> >> > NEW,ESTABLISHED -j ACCEPT<br>
>> >> >> > donde $EXTIF es la tarjeta de red que va conectada al router.<br>>> >> >> ><br>>> >> >> > Saludos,<br>>> >> >> ><br>>> >> >> > Aland Laines Calonge<br>
>> >> >> > Tecnico en Informatica<br>>> >> >> ><br>>> >> >> ><br>>> >> >> ><br>>> >> >> > El 15 de febrero de 2010 08:57, Maykel Franco Hernández<br>
>> >> >> > <<a href="mailto:maykel@maykel.es">maykel@maykel.es</a>>escribió:<br>>> >> >> ><br>>> >> >> >> Hola muy buenas, estoy familiarizandome con el uso de iptables<br>
>> >> para<br>>> >> >> >> servidores y tengo la siguiente configuracion basica:<br>>> >> >> >><br>>> >> >> >> #!/bin/bash<br>>> >> >> >><br>
>> >> >> >> #-s Especifica una direcci�n de origen<br>>> >> >> >> #-d Especifica una direcci�n de destino<br>>> >> >> >> #-p Especifica un prototocolo<br>
>> >> >> >> #-i Especifica un interface de entrada<br>>> >> >> >> #-o Especifica un interface de salida<br>>> >> >> >> #-j Especifica la acci�n a ejecutar sobre el paquete<br>
>> >> >> >> #--sport Puerto de origen<br>>> >> >> >> #--dport Puerto de destino<br>>> >> >> >><br>>> >> >> >> #Borrar todas las reglas<br>
>> >> >> >> iptables -F<br>>> >> >> >><br>>> >> >> >> #Politica general.Cerramos todo.Dejamos entrar y salir lo<br>>> >> solicitado<br>>> >> >> >> iptables -P INPUT DROP<br>
>> >> >> >> iptables -P OUTPUT ACCEPT<br>>> >> >> >> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j<br>>> ACCEPT<br>>> >> >> >> iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j<br>
>> ACCEPT<br>>> >> >> >><br>>> >> >> >> # Permitimos que se conecten a nuestro servidor web.<br>>> >> >> >><br>>> >> >> >> iptables -A INPUT -m state --state NEW -p TCP --dport 80 -j<br>
>> ACCEPT<br>>> >> >> >> iptables -A INPUT -p TCP --dport 22 -j ACCEPT<br>>> >> >> >><br>>> >> >> >> # Permitimos la comunicaci�n con el servidor dns<br>
>> >> >> >> iptables -A INPUT -p UDP --dport 53 -j ACCEPT<br>>> >> >> >> iptables -A INPUT -p TCP --dport 53 -j ACCEPT<br>>> >> >> >><br>>> >> >> >> #Permitimos uso de ftp.<br>
>> >> >> >> iptables -A INPUT -p TCP --dport 21 -j ACCEPT<br>>> >> >> >><br>>> >> >> >><br>>> >> >> >><br>>> >> >> >> La politica por defecto es rechazar todo lo que entra menos<br>
>> para<br>>> >> el<br>>> >> >> >> servidor web, ssh, dns y ftp. Todo funciona correctamente pero<br>>> el<br>>> >> ftp<br>>> >> >> no<br>>> >> >> >> logro conectarme. Para el ftp solo habilito el 21 e incluso he<br>
>> >> >> probado<br>>> >> >> >> habilitar el 20 y 21 y tampoco. Es decir, me funciona todo<br>>> menos<br>>> >> el<br>>> >> >> ftp<br>>> >> >> >> que conecta bien pero al final de la conexion se queda colgado<br>
>> y<br>>> >> no<br>>> >> >> >> logra<br>>> >> >> >> listarme los directorios. Nada más quitar la politica por<br>>> defecto<br>>> >> de<br>
>> >> >> que<br>>> >> >> >> todo lo que entra, rechazarlo, funciona el ftp correctamente(es<br>>> >> decir<br>>> >> >> >> que<br>>> >> >> >> el ftp funciona bien). Qué puedo estar haciendo mal?<br>
>> >> >> >><br>>> >> >> >> _______________________________________________<br>>> >> >> >> CentOS-es mailing list<br>>> >> >> >> <a href="mailto:CentOS-es@centos.org">CentOS-es@centos.org</a><br>
>> >> >> >> <a href="http://lists.centos.org/mailman/listinfo/centos-es" target="_blank">http://lists.centos.org/mailman/listinfo/centos-es</a><br>>> >> >> >><br>>> >> >> > _______________________________________________<br>
>> >> >> > CentOS-es mailing list<br>>> >> >> > <a href="mailto:CentOS-es@centos.org">CentOS-es@centos.org</a><br>>> >> >> > <a href="http://lists.centos.org/mailman/listinfo/centos-es" target="_blank">http://lists.centos.org/mailman/listinfo/centos-es</a><br>
>> >> >> ><br>>> >> >><br>>> >> >><br>>> >> >> _______________________________________________<br>>> >> >> CentOS-es mailing list<br>
>> >> >> <a href="mailto:CentOS-es@centos.org">CentOS-es@centos.org</a><br>>> >> >> <a href="http://lists.centos.org/mailman/listinfo/centos-es" target="_blank">http://lists.centos.org/mailman/listinfo/centos-es</a><br>
>> >> >><br>>> >> > _______________________________________________<br>>> >> > CentOS-es mailing list<br>>> >> > <a href="mailto:CentOS-es@centos.org">CentOS-es@centos.org</a><br>
>> >> > <a href="http://lists.centos.org/mailman/listinfo/centos-es" target="_blank">http://lists.centos.org/mailman/listinfo/centos-es</a><br>>> >> ><br>>> >><br>>> >><br>
>> >> _______________________________________________<br>>> >> CentOS-es mailing list<br>>> >> <a href="mailto:CentOS-es@centos.org">CentOS-es@centos.org</a><br>>> >> <a href="http://lists.centos.org/mailman/listinfo/centos-es" target="_blank">http://lists.centos.org/mailman/listinfo/centos-es</a><br>
>> >><br>>> ><br>>> ><br>>> ><br>>> > --<br>>> > Rodrigo Julio Pérez<br>>> > Ingeniero en Gestión Informática<br>>> ><br>>> > "Todo el desorden del mundo proviene de las profesiones mal o<br>
>> > mediocremente<br>>> > servidas" Gabriela Mistral<br>>> > _______________________________________________<br>>> > CentOS-es mailing list<br>>> > <a href="mailto:CentOS-es@centos.org">CentOS-es@centos.org</a><br>
>> > <a href="http://lists.centos.org/mailman/listinfo/centos-es" target="_blank">http://lists.centos.org/mailman/listinfo/centos-es</a><br>>> ><br>>><br>>><br>>><br>>> GRACIAS!! Era justo lo que me pasaba, muchas gracias. Por cierto, estas<br>
>> lineas que se añaden en algunas configuraciones de iptables para que<br>>> sirven??:<br>>><br>>> iptables -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT<br>>> iptables -A OUTPUT -m state --state ESTABLISHED, RELATED -j ACCEPT<br>
>><br>>> Y si para añadir puertos a servicios utilizo esto:<br>>> iptables -A INPUT -p tcp --dport 80 -j ACCEPT<br>>><br>>> Porque en algunos lados aparece así??<br>>> iptables -A INPUT -m state --state NEW -p TCP --dport 80 -j ACCEPT<br>
>><br>>> Gracias por todo, un saludo.<br>>><br>>><br>>> _______________________________________________<br>>> CentOS-es mailing list<br>>> <a href="mailto:CentOS-es@centos.org">CentOS-es@centos.org</a><br>
>> <a href="http://lists.centos.org/mailman/listinfo/centos-es" target="_blank">http://lists.centos.org/mailman/listinfo/centos-es</a><br>>><br>><br>><br>><br>> --<br>> Rodrigo Julio Pérez<br>> Ingeniero en Gestión Informática<br>
><br>> "Todo el desorden del mundo proviene de las profesiones mal o<br>> mediocremente<br>> servidas" Gabriela Mistral<br>> _______________________________________________<br>> CentOS-es mailing list<br>
> <a href="mailto:CentOS-es@centos.org">CentOS-es@centos.org</a><br>> <a href="http://lists.centos.org/mailman/listinfo/centos-es" target="_blank">http://lists.centos.org/mailman/listinfo/centos-es</a><br>><br><br>
<br>_______________________________________________<br>CentOS-es mailing list<br><a href="mailto:CentOS-es@centos.org">CentOS-es@centos.org</a><br><a href="http://lists.centos.org/mailman/listinfo/centos-es" target="_blank">http://lists.centos.org/mailman/listinfo/centos-es</a><br>
</div></div></blockquote></div><br><br clear="all"><br>-- <br>Rodrigo Julio Pérez<br>Ingeniero en Gestión Informática<br><br>"Todo el desorden del mundo proviene de las profesiones mal o mediocremente servidas" Gabriela Mistral<br>